CISA Perintahkan Instansi Pemerintah Segera Tambal Kerentanan SQL Injection Kritis “CVE-2026-9082” pada Drupal CMS

Badan Keamanan Siber dan Infrastruktur AS (CISA) resmi mengeluarkan instruksi darurat yang mewajibkan seluruh lembaga pemerintah federal untuk segera mengamankan server mereka dari ancaman kerentanan SQL Injection kritis yang melanda Sistem Manajemen Konten (CMS) Drupal. CISA mengonfirmasi bahwa celah keamanan hulu ini telah masuk dalam daftar katalog Known Exploited Vulnerabilities (KEV) karena terdeteksi aktif dieksploitasi di dalam ekosistem siber global.

Sebagai platform CMS yang andal untuk mengelola arsitektur struktur data masif dan instalasi multi-situs, Drupal jamak diandalkan oleh entitas skala besar, termasuk lembaga pemerintahan, institusi militer, universitas riset global, serta media massa dan korporasi enterprise papan atas.

Mekanisme Celah Keamanan CVE-2026-9082: Ancaman Eksklusi Autentikasi

Kerentanan kritis ini pertama kali ditemukan oleh peneliti keamanan dari Google/Mandiant, Michael Maturi, dan kini dilacak secara resmi dengan identitas biner CVE-2026-9082.

Celah ini bersarang di dalam komponen Database Abstraction API milik Drupal dengan karakteristik ancaman sebagai berikut:

• Tanpa Autentikasi (Unauthenticated Raid): Penyerang dapat melancarkan serangan secara mentah dari luar tanpa perlu memiliki hak akses log masuk (login credentials) atau memicu validasi token sesi apa pun.
• Target Spesifik PostgreSQL: Eksploitasi bekerja dengan cara mengirimkan permintaan manipulatif (specially crafted requests) yang membidik situs-situs Drupal yang terintegrasi dengan pangkalan data berbasis PostgreSQL.
• Dampak Destruktif: Jika eksploitasi berhasil dieksekusi, aktor siber dapat melompati parameter pembatasan data untuk memanen informasi rahasia (information disclosure), menaikkan status hak akses ke level administrator (privilege escalation), hingga mengeksekusi naskah kode berbahaya dari jarak jauh (Remote Code Execution – RCE).

Tim pengembang keamanan internal Drupal langsung menyematkan label status “Highly Critical” (Sangat Kritis) pada kerentanan ini sesaat sebelum merilis paket tambalan darurat hulu (security patches).

Skala Serangan Global: Lebih dari 15.000 Serangan Terdeteksi

Laporan dari firma intelijen keamanan siber Imperva menunjukkan bahwa gelombang serangan menyebar dengan sangat agresif pasca-penerbitan rilis CVE-2026-9082:

📊 Data Statistik Ancaman Imperva: “Hingga 21 Mei, Imperva mencatat telah terjadi lebih dari 15.000 kali upaya serangan yang membidik hampir 6.000 situs individu di 65 negara. Sektor industri Gaming (Perjudian/Game Online) dan Financial Services (Layanan Keuangan) menjadi target utama, menguasai hampir 50% dari total target akumulatif.”

Sementara itu, lembaga pengawas keamanan internet Shadowserver melaporkan bahwa saat ini masih terdeteksi sekitar 670 instalasi Drupal yang belum ditambal terekspos secara terbuka di jaringan internet dunia, dengan konsentrasi sebaran terbesar berada di kawasan Amerika Utara (272 situs) dan Eropa (273 situs).

Tenggat Waktu Ketat dari CISA (BOD 22-01)

Berdasarkan regulasi Binding Operational Directive (BOD) 22-01, CISA memberikan batas waktu yang sangat ketat bagi seluruh instansi di bawah naungan Federal Civilian Executive Branch (FCEB) untuk merampungkan proses penambalan sistem paling lambat pada Rabu tengah malam, 27 Mei 2026.

Meskipun instruksi hukum BOD 22-01 ini hanya mengikat instansi pemerintah AS, CISA mengeluarkan imbauan keras kepada seluruh administrator sistem dan tim pertahanan siber di sektor privat/swasta di seluruh dunia untuk memprioritaskan pembaruan CVE-2026-9082 guna memperkecil celah vektor serangan korporasi.